Detenidos dos piratas informáticos que pusieron a la venta información de 34 millones de conductores

M. C. C. REDACCIÓN

ESPAÑA

Parte del material requisado por la Guardia Civil a los dos piratas informáticos
Parte del material requisado por la Guardia Civil a los dos piratas informáticos Guardia Civil | EFE

La Guardia Civil llevaba meses detrás de los delincuentes, que reventaron las bases de datos de más de un centenar de empresas y organismos públicos

28 jun 2024 . Actualizado a las 15:44 h.

Llegaron a acceder a datos confidenciales de más de un centenar de administraciones y pusieron a la venta información de 34 millones de conductores que sustrajeron de la DGT. La Guardia Civil los llevaba buscando meses y ahora ha detenido a dos activos saboteadores informáticos en una operación realizada en Sevilla y Asturias.

Los investigadores constataron que los arrestados estuvieron además detrás de los ataques a la ITV de Asturias (ITVASA), a varios ayuntamientos y diputaciones, a la Universidad Autónoma de Madrid, al Ministerio de Salud de Perú, al Ministerio de Cultura de Argentina y al Poder Judicial del estado mexicano de Tlaxcala, entre otros.

Según ha informado la Dirección General de la Guardia Civil, la bautizada como operación Oceansx comenzó tras relacionar una serie de ciberataques con la información recabada en investigaciones anteriores. Así llegaron hasta un canal de Telegram en el que se mostraban accesos fraudulentos a varias administraciones públicas, que a través de técnicas de investigación tecnológica avanzadas y búsqueda en fuentes abiertas pudieron relacionar con un «actor nacional» del ámbito de la ciberdelincuencia.

Para delinquir utilizaban varios seudónimos. Uno de ello era «GUARDIACIVILX», algo que no gustó a los investigadores, pero también delinquía empleando otras 14 identidades como «9bands», «banz9», «TheLich», «Crystal_MSF», «OUJA», «unlawz» o «teamfs0ciety». A partir de ese momento, los agentes del Departamento de Cibercrimen de la UCO se centraron en obtener la identidad de las personas detrás de esos seudónimos, así como el número de ataques realizados y sus objetivos.

«GUARDIACIVILX» se publicitaba como vendedor de correos electrónicos corporativos y credenciales de acceso a servicios remotos, concretamente a un portal de consultas de vehículos de la Dirección General de Tráfico (DGT) y la ITVASA. Pretendió, sin éxito, colocar en el mercado ese paquete información por cerca de 13.000 dólares, así como otra base de datos con información acerca de más de 200.000 personas. También rastrearon diferentes cuentas de criptodivisas vinculadas a este «actor nacional» y corroboraron que gran parte de ellas se dirigían o provenían de distintas casas de cambio de criptomonedas, conocidas como «exchangers». Desde ellas se habían materializado los pagos de la venta de varios paquetes con estas credenciales de acceso obtenidas de forma ilegal.

Avanzadas las pesquisas, los agentes localizaron al sospechoso en distintos foros de ciberdelincuentes e identificaron más cuentas e identidades que supuestamente utilizaba.

En todo el mundo

Con todos los indicios recabados, la UCO detuvo a dos personas, una en Sevilla y otra en Asturias, como presuntos responsables directos de un centenar de ciberataques de organismos públicos y empresas privadas, cometidos al menos desde octubre del 2022. Uno de ellos fue arrestado cuando trataba de vender las credenciales robadas al ITVASA y a la DGT.

Los agentes intervinieron gran cantidad de material informático y documental, de los que obtuvieron evidencias que sitúan a los arrestados como autores de los ciberataques contra los ayuntamientos como los de León, Salamanca, Vitoria, Bermeo y Basauri, las diputaciones de Jaén y Málaga y el Servicio Cántabro de Salud. 

También de ataques cometidos al otro lado del Atlántico, principalmente en países de habla hispana, como los sufridos por el Ministerio de Cultura argentino, el Ministerio de Salud peruano, el Poder Judicial de Tlaxcala, o el hondureño Banco Atlántida, entre muchas otras. También actuaron contra empresas privadas y estaban principalmente interesados en robar información de redes de farmacias.

Del análisis del material incautado también se desprende el alto grado de sofisticación adquirido por los detenidos, que actuaban de manera coordinada, de forma que sus ataques eran cada vez más dañinos y complejos.

En la operación, dirigida por el Juzgado de Primera Instancia e Instrucción número 2 de Grado (Asturias), han colaborado la Fiscalía de Criminalidad Informática, el Centro Criptológico Nacional y el FBI estadounidense.